it-stargazer의 등록된 링크

키자드에 등록된 총 287개의 포스트를 확인하실 수 있습니다.

Tistory

[W-34/상] 4. 로그 관리 4.1 로그의 정기적 검토 및 보고

안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "로그의 정기적 검토 및 보고"에 대해서 설명드리도록 하겠습니다. 서버에서 설정 여부를 확인하는 점검항목이 아니라 로그를 주기적으로 검토 및 보고를 진행하고 있는지 인터뷰를 통하여 확인하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 기술적인 진단항목이라고 이야기 하기에는 조금 애매한 항목일 거 같습니다. 서버에 대한 설정을 확인하는 것이 아니고 쌓아놓았던 로그를 활용하여 분석하고 있는가를 확인하는 항목이죠 그렇기에 서버에 접속하여 확인하는 것이 아니라 인터뷰를 통해 확인하는 하는 항목으로 정책에 따라 확인하고 있는지 확인하는 것입니다. 관리적인 측면에서 로그는 주기적으로 검토가 이루어지게 되..

원문보기 내부링크
Tistory

맛집 - 안양역 호유동

안녕하세요 IT몽상가입니다. 안양역에서 데이트할 때 맛있게 먹을 수 있는 덮밥집 하나 소개하고자 합니다. 이미 많이 유명한 집입니다. 안양역 덮밥 맛집 검색하면 나오는 호유동입니다. 위치는 안양역 1번가에 있는데요 1번가 중심보다는 조금 벗어난 곳입니다. 호유동 입구가 크지 않습니다. 엄청 작은 가게인 거 같았는데요 실내는 생각보다 크게 되어 있었습니다. 그리고 이런 테이블 말고도 주방에 붙어 있는 곳도 있었는데요 거기에 사람이 있어서 따로 찍지는 못했네요 생각보다 깔끔하고 깨끗하게 잘 정리되어 있는 가게라는 생각이 들었는데요 이제 메뉴를 골라야 하는 시간인데요!! 메뉴판 앞에 이렇게 딱하니 붙어 있으니....ㅎㅎ 역시 가장 유명한 음식은 대창 덮밥이랑 장어덮밥 시켰습니다. 추가적으로 다른 메뉴도 많이 ..

원문보기 내부링크
Tistory

맛집 - 안양역 형제들 감자탕

안녕하세요 IT몽사가 입니다. 배고프면 생각나는 가장 기본적인 음식이죠!! 해장국입니다. 술 먹은 다음날도 그리고 배고픈 저녁에도 소주 한잔 생각나는 날에도 항상 생각나는 음식!! 뼈 해장국입니다. 너무 흔한 음식이라 맛이라고 이야기하기 쉽지 않은데요 요기는 24시간 영업에 맛도 좋고 양도 많은 집입니다!! 안양역 6번 출구에서 나와서 조금 걸어가면 바로 있는데요 중심가에 있는 식당입니다. 생각해보면 안양 1번가 중심가에 감자탕집...ㅎㅎ 조금 웃긴 위치에 있습니다. 하지만 역시 맛있는 집이라 옆에 집들은 바뀌어요 요 집은 그대로 그 위치에 있네요 ㅎㅎ 들어가면 이렇게 벽에 상호 명이 붙어 있는데요 ㅎㅎ 돼지 세 마리가 인상깊에서 찍어봤습니다 ㅎㅎ 감자탕은 먹어보지 않았습니다. 저는 항상 뼈다귀 해장국만..

원문보기 내부링크
Tistory

맛집 - 시청역 유림면

안녕하세요 IT몽사가 입니다. 50년 전통!!! 시청역에 있는 유명한 전통이 살아 있는 집!!! 서울에 있는 전통이라고 하면 국밥이라고 생각할 수 있으나 요기는 메밀 집입니다. 유림면입니다. 메밀 전문점입니다. 물론 다른 것도 있으나 메밀면은 전문으로 하고 있습니다. 가게 들어가면 이렇게 물이랑 컴을 제공합니다. 자리는 1층 2층 다 있어 부족하지는 않습니다. 하지만 테이블 간격이 넓지 않아서 조금 좁다는 느낌이 있고 사람들이 빠르게 차더라고요 메뉴는 이렇게 메밀전문점으로 메밀국수, 비빔메밀이 가장 유명하다고 합니다. 그리고 판 메밀도 있습니다. 그리고 겨울에는 냄비국수도 많이 팔린다고 하더라고요. 반찬으로 나오는 절임무입니다. 딱 이거만 나옵니다. 다른 반찬은 전혀 나오지 않습니다. 저는 비빔메밀을 주..

원문보기 내부링크
Tistory

[W-68/중] 2. 서비스 관리 2.36 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검

안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "예약된 작업에 의심스러운 명령이 등록되어 있는지 점검"에 대해서 설명드리도록 하겠습니다. 예약 서비스는 악의적인 행동하기에 가장 좋은 서비스 중 하나로 사용자가 인지하지 못한 상태에서 실행이 가능합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 프로그램은 이벤트가 발생하면 실행하게 되어 있습니다. 부팅을 하는 과정에서 자동으로 실행되는 프로그램도 있으며, 더블클릭이나, 엔터 등 이벤트가 발생하면 실행되며 이러한 이벤트는 사용자가 대부분 인지할 수 있죠 하지만 예약 서비스는 조금 다른 이야기입니다. 예약 서비스의 경우에는 사용자가 인지하지 못한 상태에서 실행될 수 있죠 그렇기에 이러한 예약 서비스를 이..

원문보기 내부링크
Tistory

[W-68/중] 3. 패치 관리 3.1 최신 HOT FIX 적용

안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "최신 HOT FIX 적용"에 대해서 설명드리도록 하겠습니다. 최신 버전 패치 여부를 확인하는 점검 항목이지만 함부로 패치를 진행하는 경우 장애가 발생할 수도 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 최신 버전 패치를 적용하였는지 확인하는 항목이지만 최신 버전으로 무조건 패치하는 경우는 시스템 장애가 발생할 가능성이 높습니다. 그렇기에 최신 패치보다는 안전한 패치를 확인하는 것이 맞습니다. 무조건 최신 버전을 사용하지 않는 이유는 최신 버전에 대한 취약점이 발견되거나 에러가 발생할 가능성이 있기에 안정성이 확보되지 않은 경우는 패치를 진행하지 않는 게 맞습니다. 또한 취약점이 발견되지 않은 ..

원문보기 내부링크
Tistory

[W-33/상] 3. 패치 관리 3.2 백신 프로그램 업데이트

안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "백신 프로그램 업데이트"에 대해서 설명드리도록 하겠습니다. 백신 DB 업데이트를 확인하는 항목입니다. 단순 UI 업데이트가 아닌 DB 업데이트를 확인하는 것입니다. 먼저 가이드를 확인해 보도록 하겠습니다. DB 업데이트를 확인하는 항목으로 단순 UI 업데이트는 해당하지 않는 항목입니다. 일단 백신 프로그램 탐지 원리는 패턴을 확인하는 하는 것으로 백신이 가지고 있는 DB에 있는 패터에 일치하는 것들을 확인하여 바이러스를 탐지합니다. 그렇기에 주기적으로 DB 업데이트 진행하지 않는 경우 최신 바이러스에 대한 탐지가 불가능하죠 해당 항목은 이러한 부분을 방지하기 위하여 백신을 주기적으로 패치를 진행하고 ..

원문보기 내부링크
Tistory

[W-69/중] 3. 패치 관리 3.3 정책에 따른 시스템 로깅 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "정책에 따른 시스템 로깅 설정"에 대해서 설명드리도록 하겠습니다. 로그의 유형을 설정하는 것으로 너무 많은 로그를 쌓는 것도 좋지 않다고는 하는데요 사실 많은 자료가 있으면 있을수록 더욱 정확하게 분석이 가능합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 시선의 차이가 있는 항목입니다. 일단 로그를 너무 많이 쌓으면 시스템에 부담이 되거나 분석해야 할 자료가 너무 방대하여 분석이 어렵다는 의견이 있을 수 있습니다. 하지만 개인적인 생각은 로그의 최대한 많이 쌓는 게 좋다고 생각하는 사람 중 하나입니다. 로그라는 건 결국 서버에서 동작하는 모든 행동을 기록하고 있는 것으로 너무 많이 쌓이면 분명 시스..

원문보기 내부링크
Tistory

[W-66/중] 2. 서비스 관리 2.34 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거

안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거"에 대해서 설명드리도록 하겠습니다. 윈도우 서버에 DB를 설치하는 경우 기본으로 설치되는 데이터나 드라이브를 삭제하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 윈도우 서버에 DB를 설치하는 경우가 많지 않습니다. 그렇기에 해당 취약점을 점검하는 경우도 많지 않은데요 물론 해당 취약점은 DB를 사용하는 경우에만 점검하지는 않습니다. 이유는 잠시 설치하거나 기본적으로 다른 프로그램과 연동되어 있는 DB를 설치해야 하는 경우가 존재하기 때문이죠 윈도우 서버는 상대적으로 리눅스보다 안전성이 떨어지기에 DB서버로는 잘 운영하지 않습니다. ..

원문보기 내부링크
Tistory

[W-67/중] 2. 서비스 관리 2.35 원격터미널 접속 타임아웃 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "원격 터미널 접속 타임아웃 설정"에 대해서 설명드리도록 하겠습니다. 원격 접속 후 자리는 비우거나 작업이 완료되었을 때 따로 로그아웃을 하지 않으면 세션이 유지되면서 로그인 상태가 유지될 수 있는데요 이러한 부분은 보안적으로 안전하게 설정하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 원격 접속을 하여 작업을 진행합니다. 원격 접속한 담당자는 잠시 자리를 비우거나 아니면 작업을 완료하고 로그아웃을 따로 하지 않습니다. 이러한 경우 다른 사람이 해당 사용자의 PC에 앉아서 원격 접속을 통해 서버에 악의적이 명령을 내릴 수 있는데요 이러한 부분을 방지하기 위한 설정 중 하나라고 할 수 있습니다..

원문보기 내부링크
Tistory

맛집 - 백운호수 청계누룽지백숙

안녕하세요 IT몽상가입니다. 여름은 갔지만 겨울이 오기 전에 몸보신을 해야 따뜻한 겨울을 보낼 수 있죠 ㅎㅎㅎ 가을 나들이 갔다가 몸보신할 수 있는 집입니다. 백운 호수 옆에 있는 청계 누룽지백숙입니다. 이 집은 닭백숙과 오리백숙을 같이 팔고 있습니다. 토종닭 누룽지백숙 : 48,000원 오리 누룽지 백숙 : 52,000원 장수 토종닭 누룽지 백숙 : 60,000원 장수 오리 누룽지 백숙 : 52,000원으로 메인 메뉴가 구성되어 있습니다. 장수가 붙은 것은 다양한 약재가 들어 있는 것으로 몸보신을 하시려면 역시 약재가 좀 들어가야죠 ㅎㅎ 주문을 하면 일단 밑반찬인 마늘, 양파 장아찌와 갓김치, 배추김치, 물김치가 나오는데요! 청계 누룽지백숙을 추천하는 이유는 이런 밑반찬이 맛있습니다. 장아찌가 정말 맛..

원문보기 내부링크
Tistory

맛집 - 시청역 테이도우

안녕하세요 IT몽상가입니다. 최근에 시청역 근처에서 근무하면서 찾은 맛집입니다. 일본식 라멘집으로 밥도 무료로 제공해주고 사리도 1000원으로 저렴한 집이라고 생각해서 추천드립니다. 시청역 10번 출구에서 나와서 쭉 오다 첫 번째 골목으로 들어가면 있는 라멘 맛집입니다!! 데이도우로 2층에 있는 작은 가게라 올라가는 길이 좁고 경사가 심해서 올라가는데 조심해야 합니다 ㅎㅎ 이렇게 좁은 계단을 올라가면 식당이 하나 나오는데요 주 메뉴가 라멘입니다. 메뉴판은 이렇게 구성되어 있으나, 점심에 갔던 곳이라... 첫 번째 메뉴판에서 주문하였는데요 제가 선택한 메뉴는 카라 돈코츠라멘과 라면 사리입니다. 윽 초점이 많이 흔들렸지만 이런 이쁜 병에 물을 줍니다!! ㅎㅎ 그리고 앞서 이야기드린 공깃밥!!!! 요기서 마음..

원문보기 내부링크
Tistory

맛집 - 시청역 돈수백

안녕하세요 IT몽상가입니다. 갑자기 쌀쌀해진 요즘 아무리 따뜻하게 입고 다녀도 추울 때가 있죠 이럴 때 생각나는 따뜻한 국밥!!!!! 내장이 들어가 있는 순대국밥 같은 거 못 드시는 분들도 대부분 맛있게 드시는 돼지국밥 추천합니다. 시청역 과 을지로입구역 사이에 있는 돼지국밥집인 돈수백입니다. 위치는 2층에 있고 맨 안쪽으로 들어가면 이렇게 문이 열려 있습니다!!! 요기도 역시 점심에 왔기 때문에 앞에 있는 메뉴판에서 주문하는데요 돼지국밥뿐만 아니라 내장도 들어가 있는 국밥도 있습니다. 저는 내장도 좋고 돼지국밥도 좋지만 일단 가장 메인 메뉴인 돼지국밥을 준문 했습니다. 셋이서 가서 셋다 돈탕반으로!! 아 그리고 주문 시 밥을 따로 달라고 해야 이렇게 나고 아니면 국밥에 말아서 나온다고 하네요!!! 주문..

원문보기 내부링크
Tistory

[W-62/중] 2. 서비스 관리 2.30 SNMP Access control 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "SNMP Access control 설정"에 대해서 설명드리도록 하겠습니다. 커뮤니티스트링을 복잡하게 설정하여 접속을 어렵게 할 수 있습니다. 하지만 보안적으로 안전하게 사용하기 위하여 추가적으로 접속을 제한하는 설정입니다. 먼저 가이드를 확인해 보도록 하겠습니다. SNMP서비스는 취약하나 효율이 좋은 서비스이기에 사용하는 경우가 종종 있다고 말씀드렸는데요 그렇기에 커뮤니티스트링값을 복잡하게 설정하여 조금이나마 안전하게 설정하였는데요 해당 점검항목은 거기에 추가적으로 접속을 받을 수 있는 호스트를 지정하여 접속을 제한하는 설정입니다. 안전하지 않은 서비스라 이용하지 않는 것이 가장 좋습니다. 하지만 필요한..

원문보기 내부링크
Tistory

[W-63/중] 2. 서비스 관리 2.31 DNS 서비스 구동 점검

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "DNS 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. DNS 서비스는 도메인 명으로 사이트를 찾아 연결해주는 서비스로 일반적으로 각 통신사에 DNS를 사용 하지만 별도로 사용하는 경우도 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. DNS 서비스는 일반적으로 각 통신망에서 제공하는 DNS를 사용합니다. 하지만 기업에 따라 내부 도메인을 사용하는 경우에는 별도로 DNS를 구성하여 사용합니다. 하지만 DNS가 해킹 당하는 경우에는 파급력이 굉장한데요 해당 서비스는 도메인 명으로 사이트로 연결하는 것으로 만약에 DNS에서 도메인명과 사이트 IP주소가 잘못 연결되어 있는 경우 도메인이름으로 원하는 사..

원문보기 내부링크
Tistory

[W-64/하] 2. 서비스 관리 2.32 HTTP/FTP/SMTP 배너 차단

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "HTTP/FTP/SMTP 배너 차단"에 대해서 설명드리도록 하겠습니다. 배너를 통한 정보 노출을 막기 위한 것으로 기본 배너에 정보가 다수 존재할 수 있기에 그러한 배너를 삭제하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 기본값으로 설정되어 있는 베너에 간혹 정보가 노출되는 경우가 있습니다. 그렇기에 베너에 존재하는 정보를 삭제하도록 하는 것입니다. 베너는 접속하는 경우에 나타나는 것으로 베너에 정보가 노출되어 있는 경우 서버에 접속 시 확인이 가능합니다. 물론 해당 점검 항목은 IIS가 동작하는 경우에 확인할 수 있기에 IIS를 사용하지 않는 경우에는 진단할 필요가 없긴 합니다. 하지만 사용..

원문보기 내부링크
Tistory

[W-65/중] 2. 서비스 관리 2.33 Telnet 보안 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "Telnet 보안 설정"에 대해서 설명드리도록 하겠습니다. 원격 접속에 사용하는 프로토콜로 평문으로 전송되기에 사용하지 않는 원격 접속 프로토콜입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 서버를 관리하는 경우에 원격 접속을 할 수밖에 없는데요 그렇기에 원격 접속에 사용되는 프로토콜을 잘 골라 사용하여야 합니다. 해당 점검항목에서 확인하는 Telnet은 평문으로 전송되기에 해당 프로토콜을 이용하여 원격 접속을 하지 못하도록 해당 서비스를 사용하지 못하게 하여야 하는데요 평문으로 전송되기에 해당 서비스를 이용하는 경우에는 ID와 PW가 노출될 수 있습니다. 노출되는 경우에는 해당 서비스를 이용하여 ..

원문보기 내부링크
Tistory

[W-31/상] 2. 서비스 관리 2.25 최신 서비스팩 적용

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "최신 서비스팩 적용"에 대해서 설명드리도록 하겠습니다. 서비스팩은 최근 버전에서는 사용하지 않습니다. 윈도우 2008 까지만 서비스팩이 존재합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 최신 서비스팩 적용입니다. 현재는 사용하지 않고 있는데요 윈도우 2008까지만 서비스팩이 존재하였으며, 2012에서 현재까지 나와 있는 버전까지는 서비스팩이 존재하지 않습니다. 현시점에서 윈도우 2008은 패치가 더이상 이루어지지 않아 사용하지 않아야 하는데요 그렇기에 해당 취약점 점검도 이루어 지지 않습니다. 대상 운영체제를 사용하지 않는 것이죠 윈도우 2008 서비스 팩 2의 경우 2020-01-14 EOS 되었기에..

원문보기 내부링크
Tistory

[W-58/중] 2. 서비스 관리 2.26 터미널 서비스 암호화 수준 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "터미널 서비스 암호화 수준 설정"에 대해서 설명드리도록 하겠습니다. 윈도우에서 기본적으로 제공하는 원격 터미널을 이용하는 경우에 암호화 수준을 설정하는 것입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 원격 터미널은 윈도우에서 기본적으로 제공하는 것입니다. 그렇기에 해당 서비스를 이용하는 경우에는 보안설정을 추가적으로 설정하게 되어 있습니다 해당 점검 사항에서 확인 하는 것은 암호화 수준입니다. 원격 터미널 접속 시에 암호화 설정을 하는 것으로 중간 이상으로 설정하여 표준 키 길이를 기반하여 암호화하게 하는 것입니다. 가장 좋은 방법은 해당 서비스를 이용하지 않게 하는 것이 좋습니다. 기반시설인 경우에는..

원문보기 내부링크
Tistory

[W-59/중] 2. 서비스 관리 2.27 IIS 웹서비스 정보 숨김

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 웹서비스 정보 숨김"에 대해서 설명드리도록 하겠습니다. 에러 페이지 등에서 노출될 수 있는 웹서비스 정보가 노출되지 않도록 설정하는 것입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 정보 노출과 연결되어 있는 설정으로 해당 설정이 잘못되어 있는 경우는 웹 취약점 진단에서 취약점이 발견될 수 있습니다. 그렇기에 웹과 연결되어 있기에 웹 취약점 진단에서 취약점이 발견되는 경우 조치 방법 중 하나일 수 있습니다. 해당 설정이 잘못되어 있는 경우 노출되는 정보는 웹 서버 종류, 사용 OS, 사용자 계정 등이 노출되는 것으로 문제가 될 수 있다고 이야기합니다. 이렇게 노출된 정보를 가지고 다양한 공격이 가..

원문보기 내부링크
Tistory

[W-60/중] 2. 서비스 관리 2.28 SNMP 서비스 구동 점검

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "SNMP 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. 간혹 관제에서 사용하기는 하지만 인증이 존재하지 않아 보안적으로 문제가 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 관제서비스에서 간혹 사용하는 서비스입니다. 네트워크 망을 관리하기 위한 목적으로 만들어진 서비스로 네트워크에 접속되어 있는 장비들에 대한 정보를 수집하거나 사용 여부를 확인하는 서비스입니다. 물론 유용한 서비스입니다. 하지만 해당 서비스에 치명적인 문제가 있어서 사용하지 않는 것을 권고드리고 있는데요 하지만 꼭 사용하는 경우에는 사용하긴 합니다. 치명적인 문제는 인증이 별도로 존재하지 않습니다. 인증이란 ID/PW를 이용하..

원문보기 내부링크
Tistory

[W-61/중] 2. 서비스 관리 2.29 SNMP 서비스 커뮤니티스트링의 복잡성 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "SNMP 서비스 커뮤니티스트링의 복잡성 설정"에 대해서 설명드리도록 하겠습니다. SNMP서비스를 사용하지 않는 게 가장 좋으나 혹시 사용하는 경우 조금이나마 안전하게 사용하기 위한 설정입니다. 먼저 가이드를 확인해 보도록 하겠습니다. SNMP서비스는 안전하지 않습니다. 인증이라는 절차가 존재하지 않기에 사용하지 않는 게 좋은데요 하지만 관제 등에 사용하는 경우가 있습니다. 네트워크를 통해 시스템의 상태를 확인하기 좋은 서비스이기 때문에 종종 사용하는 경우가 존재합니다. 그렇기에 이러한 안전하지 않는 서비스를 그나마 안전하게 사용하기 위한 설정하는 것이 해당 점검 항목입니다. 일단 SNMP는 인증이라는 절차..

원문보기 내부링크
Tistory

[ISMS-P] 2.3.2 외부자 계약 시 보안 : "중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 두 번째 항목인 외부자 계약 시 보안에 대해서 알아보도록 하겠습니다. 외부 서비스를 이용하거나 개발 관련하여 사업을 진행하는 경우 업체와의 계약 시 보안적인 부분을 참고하여 진행하였는지 확인하는 것입니다. 2.3.2 외부자 계약 시 보안 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 상세점검항목 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? 외부 서비스 이용 및 업무 위탁에..

원문보기 내부링크
Tistory

[ISMS-P] 2.3.2 외부자 계약 시 보안 : "외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 두 번째 항목인 외부자 계약 시 보안에 대해서 알아보도록 하겠습니다. 외부 서비스를 이용하거나 개발 관련하여 사업을 진행하는 경우 업체와의 계약 시 보안적인 부분을 참고하여 진행하였는지 확인하는 것입니다. 2.3.2 외부자 계약 시 보안 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 상세점검항목 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? 외부 서비스 이용 및 업무 위탁에..

원문보기 내부링크
Tistory

[ISMS-P] 2.3.2 외부자 계약 시 보안 : "정보시스템 및 개인정보처리 시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 두 번째 항목인 외부자 계약 시 보안에 대해서 알아보도록 하겠습니다. 외부 서비스를 이용하거나 개발 관련하여 사업을 진행하는 경우 업체와의 계약 시 보안적인 부분을 참고하여 진행하였는지 확인하는 것입니다. 2.3.2 외부자 계약 시 보안 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 상세점검항목 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? 외부 서비스 이용 및 업무 위탁에..

원문보기 내부링크
Tistory

[W-29/상] 2. 서비스 관리 2.23 DNS Zone Transfer 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "DNS Zone Transfer 설정"에 대해서 설명드리도록 하겠습니다. Domain Name System으로 도메인을 이용하기 위한 시스템으로 해당 DNS를 동기화하기 위한 설정 중 하나입니다. 먼저 가이드를 확인해 보도록 하겠습니다. DNS는 Domain Name System으로 naver.com이라는 도메인 주소를 실제 운영 중인 서버에 IP주소 변경해주는 것으로 사용자의 편의성을 확대하기 위하여 숫자로 되어 있는 IP주소가 아닌 도메인을 통하여 사용할 수 있게 해주는 것이죠 일반적으로 각 통신사의 도메인 주소가 기본값으로 설정되어 있고, 추가적으로 구글 DNS 서버를 사용하는 경우도 있습니다. 하지..

원문보기 내부링크
Tistory

[W-30/상] 2. 서비스 관리 2.24 RDS(Remote Data Services)제거

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "RDS(Remote Data Services) 제거"에 대해서 설명드리도록 하겠습니다. 데이터를 관리하는 기능을 가지고 있는 서비로 현재로는 사용하지 않는 서비스입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 현재는 사용하지 않는 서비스입니다. Windows 2003 이하인 버전에서만 사용하는 서비스로 Windows 2012 이상만 사용하여야 하기에 해당 취약점을 점검하는 경우는 없을 거 같습니다. 가이드 자체가 2013년에 만들어진 것으로 아직 해당 취약점 진단 항목을 삭제하고 있지 않습니다. 해당 점검항목은 N/A로 처리하면 됩니다. "RDS(Remote Data Services) 제거"에 대해 알아..

원문보기 내부링크
Tistory

맛집 - 용인 원암정 한식

안녕하세요 IT몽상가입니다. 주말에 나들이 가고 싶어서 찾았던 곳이 바로 와우정사인데요 갔다가 너무 배고 고파서... 맛집을 찾는데 다들 조금 멀리 있고 브레이크 타임... 대부분 요기 오면 오리고기를 많이 먹는 것 같은데.. 항상 브레크 타임에 걸려서 다른 곳을 찾다 찾은 맛집입니다. 와우정사와 아주 가까운 곳으로 차를 타고는 한 5분입니다!!! 한정식 집으로 원암정 한정식이라고 있습니다. 사실... 찾아가기가 쉽지는 않지만 이렇게 큰 간판이 존재하기에 근처에 가면 바로 보이긴 합니다. 이게 들어오는 입구인데요... 저 길로 차가 들어와야 합니다. 눈으로 보면 매우 좁은 거 같은데 그렇게 좁지는 않더라고요 하지만 차는 한 대씩만 다닐 수 있습니다. ㅎ 자체 주차장은 존재하고요 외관은 이렇게 큰 기화 집..

원문보기 내부링크
Tistory

[W-27/상] 2. 서비스 관리 2.21 Anonymous FTP 금지

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "Anonymous FTP 금지"에 대해서 설명드리도록 하겠습니다. FTP 서비스는 안전한 서비스가 아니기에 사용하면 안 된다고 말씀드렸는데요 이러한 안전하지 않은 서비스를 더 안전하지 않게 만드는 설정이기에 금지하고 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 어떠한 서비스 이더라도 익명을 사용자가 사용하게 되는 경우는 안전하지 않은데요 FTP 서비스는 서비스 자체가 평문으로 전송되기에 안전하지 않습니다. 이렇게 안전하지 않는 서비스를 익명으로 사용한다는 것은 더욱더 안전하지 않게 만드는 것으로 사용하지 않게 설정하는 것이 맞습니다. 익명으로 사용하는 경우에는 추적성이 확보되지 않습니다. 추적성이란..

원문보기 내부링크
Tistory

[W-28/상] 2. 서비스 관리 2.22 FTP 접근 제어 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "FTP 접근 제어 설정"에 대해서 설명드리도록 하겠습니다. FTP를 사용하는 경우가 있는데요 그렇기에 FTP를 사용하는 경우 추가적인 보안조치를 통해 최소한의 보안안 유지 하게 하는 설정입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 접근제어 설정입니다. FTP를 사용하는 경우에 사용하는 보안 조치로 접근 할수 있는 IP를 선정하여 해당 IP만 접속할수 있게 하는 것입니다. 취약하기에 사용하지 않아야 하지만 꼭 필요한 경우가 존재하기에 보안 설정을 하는 것이라고 생각하면 됩니다. 특정 IP에서만 FTP를 사용하게 하므로써 데이터가 평문으로 전송되더라도 IP가 맞지 않는 경우에는 접속이 불가능하게 되어 있..

원문보기 내부링크
Tistory

[CF/상] 15. 크로스사이트 리퀘스트 변조(CSRF)

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "크로스 사이트 리퀘스트 변조(CSRF)"에 대해서 설명드리도록 하겠습니다. 크로스 사이트 스크립트와 거의 동일한 유형이지만 목표의 차이가 있습니다. 하지만 크로스 사이트 스크립트를 조치하는 경우 해당 취약점도 같이 조치됩니다. 먼저 가이드를 확인해 보도록 하겠습니다. 크로스 사이트 스크립트와 거의 동일한 취약점이라고 생각할 수도 있는데요 하지만 목표가 조금 차이가 있습니다. 크로스 사이트 스크립의 경우에는 목표가 사용자 PC가 됩니다. 하지만 크로 사이트 리퀘스트 변조의 경우는 서버가 목표가 될 수 있습니다. 크로스 사이트 스크립트가 조치가 되는 경우 해당 취약점도 같이 조치됩니다. 그렇기에 사실상 취약점 진..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.6 보안 위반 시 조치 : "정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 여섯 번째 항목인 보안 위반 시 조치에 대해서 알아보도록 하겠습니다. 보안 위반하는 경우 징계나 경고 등에 대한 조치가 필요한데요 이러한 부분을 확인하는 점검 항목입니다. 2.2.6 보안 위반 시 조치 임직원 및 관련 외부자가 법령, 규제 및 내부 정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. 상세점검항목 임직원 및 관련 외부자가 법령과 규제 및 내부 정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가? 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가? 두 번째 항목인 "정보보호 및 개..

원문보기 내부링크
Tistory

[ISMS-P] 2.3.1 외부자 현황 관리 : "관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황을 식별하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 첫 번째 항목인 외부자 현황 관리에 대해서 알아보도록 하겠습니다. 정보보호 및 개인정보보호에 관련된 외부자의 현황을 파악하고 그에 맞는 보호대책을 마련하는 것입니다. 2.3.1 외부자 현황 관리 업무의 일부(개인정보 취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 상세점검항목 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황..

원문보기 내부링크
Tistory

[ISMS-P] 2.3.1 외부자 현황 관리 : "업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 첫 번째 항목인 외부자 현황 관리에 대해서 알아보도록 하겠습니다. 정보보호 및 개인정보보호에 관련된 외부자의 현황을 파악하고 그에 맞는 보호대책을 마련하는 것입니다. 2.3.1 외부자 현황 관리 업무의 일부(개인정보 취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 상세점검항목 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황..

원문보기 내부링크
Tistory

카페 - 용인 사암그레이커피

안녕하세요 IT몽상가입니다. 주말에 가기 좋은 카페를 찾아 소개해드리고 합니다. 조금 멀리 있긴 한데요 한적하고 생각보다 사람은 많이 않으며, 자리는 많은 곳이더라고요 거기에 커피도 아주 괜찮습니다. 사암 그레이 커피인데요 지도로 보시면 알겠지만 주변에 딱히 없긴 합니다. 그래서 그런지 아주 조용하고 깨끗하게 잘되어 있습니다. 일단 건물이 2개인데요 공간이 매우 넓어서 좋습니다. 건물 옆에는 주차장이 존재하여 주차도 어렵지 않은데요 한 10대 정도 주차가 가능합니다. 영업시간은 역시... 늦은 시간까지는 하지 않은데요 그래서 직장인들은 주말에나 갈 수 있을 거 같네요 안쪽에서 주문을 하고 밖으보면 이렇게 자리가 있습니다. 건물도 통유리가 크게 되어 있어서 데이트 장소로 추천드리죠 그리고 뒷마당에는 야외에..

원문보기 내부링크
Tistory

[IA/상] 13. 불충분한 인증

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "불충분한 인증"에 대해서 설명드리도록 하겠습니다. 개인정보가 노출된 페이지 등 중요 페이지에 접속하는 경우 추가적인 인증절차 여부를 확인하는 취약점입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 가이드상 나와 있는 것은 중요정보 페이지 접근 시 추가 인증 여부를 확인하는 것이라고 나와 있습니다. 사실 조금 애매한 부분인데요 현재 일반적으로 해당 취약점을 잡을 때 개인정보 수정 페이지 등에 접근 시 추가적인 인증 여부를 확인하는 것을 확인하고 있습니다. 사실 불충분한 인가, 불충분한 인증, 프로세스 검증 누락 등 비슷한 취약점이 존재하기 취약점이 발견되더라도 어떠한 취약점으로 잡아야 할지 애매한 경우가 많은데..

원문보기 내부링크
Tistory

[W-25/상] 2. 서비스 관리 2.19 FTP 서비스 구동 점검

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "FTP 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. 파일을 전송할 때 사용하는 프로토콜로 평문으로 전송되기에 사용하지 못하게 하고 있는데요 해당 점검항목에서는 FTP 사용 여부를 점검하고 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. FTP 서비스는 파일을 전송할 때 사용하는 서비스로 파일은 업로드 또는 다운로드 등에 사용되는 돼요 하지만 해당 서비스는 데이터가 평문으로 전송되는 취약점이 존재합니다. FTP 서비스에서는 2개의 포트는 사용하고 있는데요 먼저 인증에 사용되는 21번 포트와 파일을 전송할 때 사용되는 20번 포트 2가지로 구성되어 있습니다. 평문으로 전송될 때 조금 더 위험하다고..

원문보기 내부링크
Tistory

[W-26/상] 2. 서비스 관리 2.20 FTP 디렉토리 접근권한 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "FTP 디렉토리 접근권한 설정"에 대해서 설명드리도록 하겠습니다. FTP 서비스를 사용하게 되는 경우에 FTP에서 사용하는 폴더에 대한 권한 관리가 잘못되어 있는 경우 해당 업로드된 파일을 악용할 수 있는데요 이런 것을 방지하기 위하여 권한 설정을 합니다. 먼저 가이드를 확인해 보도록 하겠습니다. FTP 서비스는 평문으로 전송되는 취약점이 존재하기 사용하지 않게 되어 있습니다. 하지만 반드시 사용해야 하는 경우에는 다양한 보안적인 설정을 추가하게 되어 있는데요 일단 secure FTP를 통하여 FTP에 존재하는 기본적인 취약점을 해결하고 그 외 문제가 될 수 있는 파일 권한에 대한 부분을 추가하게 되어 있..

원문보기 내부링크
Tistory

[PR/상] 14. 취약한 패스워드 복구

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "취약한 패스워드 복구"에 대해서 설명드리도록 하겠습니다. 패스워드를 찾는 과정에서 간혹 패스워드가 화면에 노출되거나 처음 입력한 이메일이나 혹은 핸드폰 번호가 아니 새로 입력한 번호로 임시 패스워드가 오는 경우가 있는데 이런 것들을 확인하는 점검 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드는 현재 해시하여 저장하기에 패스워드를 확인할 수 없습니다. 그렇기에 패스워드 찾기를 하는 경우에는 임시 패스워드를 보내주게 되어 있는데요 혹은 기존에 인증한 이메일이나 핸드폰으로 패스워드 변경 페이지 URL을 전달합니다. 하지만 간혹 설계되어 기존의 패스워드가 노출되거나 임시 패스워드가 화면에 노출되는 경..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.6 보안 위반 시 조치 : "임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 여섯 번째 항목인 보안 위반 시 조치에 대해서 알아보도록 하겠습니다. 보안 위반하는 경우 징계나 경고 등에 대한 조치가 필요한데요 이러한 부분을 확인하는 점검 항목입니다. 2.2.6 보안 위반 시 조치 임직원 및 관련 외부자가 법령, 규제 및 내부 정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. 상세점검항목 임직원 및 관련 외부자가 법령과 규제 및 내부 정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가? 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가? 첫 번째 항목인 "임직원 및 관련..

원문보기 내부링크
Tistory

[W-23/상] 2. 서비스 관리 2.17 IIS WebDAV 비활성화

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS WebDAV 비활성화"에 대해서 설명드리도록 하겠습니다. 웹을 통해 원격으로 개발하는 데 사용되는 서비스입니다. 현재는 다수의 인증 우회 취약점이 발견되어 사용하지 않아야 하기에 사용 여부를 점검합니다. 먼저 가이드를 확인해 보도록 하겠습니다. WebDAV는 웹 서비스를 통해 서버에 있는 파일을 접근하여 수정하고나 다운로드 등 개발에 필요한 다양한 기능을 제공하고 있습니다. 그러기에 다수의 개발자가 원격으로 개발을 하는 경우 사용하는 서비스인데요 하지만 해당 서비스에는 다수의 인증 우회 취약점이 발견되었으며 인증 우회의 통해 불법적인 접근이 가능하기에 사용하지 않게 하는 게 해야 합니다. 해당 서비..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.5 퇴직 및 직무변경 관리 : "퇴직, 직무 변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리 시스템 운영부서 ..

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 퇴직자 관리로 퇴직하는 경우 보안서약서 징구 및 직무 변경에 따른 권한 설정입니다. 2.2.5 퇴직 및 직무 변경 관리 퇴직 및 직무 변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산 반납, 계정 및 접근권한 회수·조정, 결과 확인 등의 절차를 수립·관리하여야 한다. 상세점검항목 퇴직, 직무 변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리 시스템 운영부서 간에 공유되고 있는가? 조직 내 인력(임직원, 임시직원, 외주용역직원 등)..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.5 퇴직 및 직무변경 관리 : "조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무 변경 시 지체 없는 정보자산 반납, 접근권한 회수‧조정, 결과 확인 등의 절차를 수립..

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 퇴직자 관리로 퇴직하는 경우 보안서약서 징구 및 직무 변경에 따른 권한 설정입니다. 2.2.5 퇴직 및 직무 변경 관리 퇴직 및 직무 변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산 반납, 계정 및 접근권한 회수·조정, 결과 확인 등의 절차를 수립·관리하여야 한다. 상세점검항목 퇴직, 직무 변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리 시스템 운영부서 간에 공유되고 있는가? 조직 내 인력(임직원, 임시직원, 외주용역직원 등)..

원문보기 내부링크
Tistory

[W-24/상] 2. 서비스 관리 2.18 NetBIOS 바인딩 서비스 구동 점검

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "NetBIOS 바인딩 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. 요즘은 주로 공유 프린터에 사용되는 서비스로 근거리 통신만 내에서 컴퓨터 이름 만으로 찾아서 접속 시도가 가능하여 현재는 사용하지 잘 사용하지 않고 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 현재는 주로 공유 프린터에 사용되는 것으로 컴퓨터 이름 만으로 접속 시도가 가능하기에 현재는 거의 사용하지 않고 있습니다. 컴퓨터 이름만으로 접속 시도가 가능하다는 것은 일반적으로 검색되는 근거리 통신에 있는 PC에 접속이 가능하다는 것으로 계정과 PW를 알아내면 접속하여 쉽게 탈취가 가능합니다. 현재는 거의 프린터 공유에만 사용되고 ..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "교육 시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..

원문보기 내부링크
Tistory

[XS/상] 11. 크로스사이트 스크립팅

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "크로스 사이트 스크립팅"에 대해서 설명드리도록 하겠습니다. 가장 많이 발생되고 가장 많은 유형의 공격이 존재하며 가장 다양한 파급력을 가지고 있는 취약점으로 웹에서 입력한 값이 스크립트 언어로 입력되어 실행되는 취약점을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. XSS라고도 이야기하는 취약점으로 사용자가 입력한 값이 스크립트 언어로 인식되어 실행되는 것으로 스크립트 언어는 웹을 개발하는 언어이기에 다양한 공격이 가능하게 됩니다. 가장 대표적인 것으로 세션을 탈취하거나 아니면 악의적인 사이트로 접속하게 하거나 하는데요 간혹 인터넷을 통해 커뮤니티나 규모가 크지 않은 사이트에 접속하는 경우 이상한 사..

원문보기 내부링크
Tistory

[BF/상] 12. 약한 문자열 강도

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "약한 문자열 강도"에 대해서 설명드리도록 하겠습니다. 계정을 탈취하기 위해 가장 많이 사용하는 공격은 무차별 대입 공격 또는 사전 대입 공격으로 계정과 비밀번호가 맞을 때까지 계속 시도하는 것입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 계정을 탈취하기 위해서 사용하는 공격 방법으로 가장 대표적인 것은 무차별 대입 공격 그리고 사전 대입 공격이 있는데요 무차별 대입 공격을 경우 말 그래도 무차별로 임의의 값을 넣어 계정을 탈취 시도하는 것을 이야기합니다. 사전 대입 공격은 가장 많이 사용하는 패스워드 등을 먼저 시도하는 것인데요 이런 공격을 통해 계정을 탈취 시도하는 것이 약한 문자열 강도인데요 하지만 이..

원문보기 내부링크
Tistory

[W-21/상] 2. 서비스 관리 2.15 IIS 미사용 스크립트 매핑 제거

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 미사용 스크립트 매핑 제거"에 대해서 설명드리도록 하겠습니다. 파일이 실행되는 과정은 먼저 확장자를 보고 해당 파일이 실행될 수 있는 프로그램을 실행 후 해당 프로그램에서 파일을 불러오게 되어 있습니다. 그렇기에 확장자와 프로그램을 매핑을 시켜 관리하는데요 해당 점검 항목은 불필요한 확장자를 가지고 있는 파일에 대하여 실행을 방지하기 위하여 매핑을 제거하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 파일이 실행되는 과정은 확장을 확인하고 해당 확장에 매핑되어 있는 프로그램을 찾아 실행하는 돼요 하지만 프로그램을 찾을 때 해당 프로그램이 없는 경우에 흔히 볼 수 있는 연결 프로그램 창이 나..

원문보기 내부링크
Tistory

[W-22/상] 2. 서비스 관리 2.16 IIS Exec 명령어 쉘 호출 진단

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS Exec 명령어 쉘 호출 진단"에 대해서 설명드리도록 하겠습니다. # exec 명령을 통해서 서버에 명령어를 실행시켜 파일을 실행하거나 악의적인 행동을 하는 것을 차단하고자 사용하지 못하게 하는 것인데요 하지만 해당 명령어는 IIS 5.0 이하에서만 가능한 것으로 현시점에서는 진단하는 경우가 없는 취약점 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. IIS 5.0 이하에서만 발생하는 취약점으로 현시점에서는 해당 점검항목을 점검할 일은 없긴 합니다. 하지만 해당 점검항목이 있는 이유는 왜 진단해야 하는지 알고 있어야 할거 같네요 #exec 명령어가 가능한 경우 웹 환경에서 해당 명령어를 통해서..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시..

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.3 보안 서약 : "신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 세 번째 항목인 보안 서약에 대해서 알아보도록 하겠습니다. 회사에 입사하는 경우 해당 인력에 대하여 보안서약서를 작성하여 책임을 부여하도록 하는 점검 항목입니다. 2.2.3 보안설정 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 상세점검항목 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 ..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.3 보안 서약 : "임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 ..

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 세 번째 항목인 보안 서약에 대해서 알아보도록 하겠습니다. 회사에 입사하는 경우 해당 인력에 대하여 보안서약서를 작성하여 책임을 부여하도록 하는 점검 항목입니다. 2.2.3 보안설정 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 상세점검항목 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 ..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.3 보안 서약 : "임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 세 번째 항목인 보안 서약에 대해서 알아보도록 하겠습니다. 회사에 입사하는 경우 해당 인력에 대하여 보안서약서를 작성하여 책임을 부여하도록 하는 점검 항목입니다. 2.2.3 보안설정 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 상세점검항목 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 ..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.3 보안 서약 : "정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요시 쉽게 찾아볼 수 있도록 관리하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 세 번째 항목인 보안 서약에 대해서 알아보도록 하겠습니다. 회사에 입사하는 경우 해당 인력에 대하여 보안서약서를 작성하여 책임을 부여하도록 하는 점검 항목입니다. 2.2.3 보안설정 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 상세점검항목 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 ..

원문보기 내부링크
Tistory

[W-20/상] 2. 서비스 관리 2.14 IIS 데이터 파일 ACL 적용

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 데이터 파일 ACL 적용"에 대해서 설명드리도록 하겠습니다. 웹 서비스 운영 중에 웹에서 접근하여 사용하는 파일과 그렇지 않은 파일이 존재합니다. 화면을 구성하는 파일을 경우는 당연히 웹에서 읽어서 사용하여야 하나 서버에서 처리하는 경우에는 웹에서 읽거나 사용할 필요가 없는데요 이러한 파일에 접근제어(ACL)를 적용 여부를 확인하는 점검항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 데이터 파일에 대한 ACL 적용 여부 점검항목으로 데이터 파일이란 결국 웹 서비스 운영 시에 화면을 표현하는 파일이 아니 내부에서 처리하는 파일을 이야기합니다. 데이터 파일뿐만 아니라 보안에서 추구하는 최소한을 권..

원문보기 내부링크
Tistory

[W-15/상] 2. 서비스 관리 2.9 웹 프로세스 권한 제한

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "웹 프로세스 권한 제한"에 대해서 설명드리도록 하겠습니다. 웹 서비스에 발생된 취약점을 이용하여 서버에 대한 공격 시도 시 권한이 낮은 경우 추가적이 공격이 어려울 수 있기에 해당 권한을 최소한으로 제한하는 항목을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 웹 서비스에 발견된 취약점을 이용하여 추가적으로 서버에 대한 공격이 발생할 수 있습니다. 이렇게 웹 취약점을 통해 서버에 대한 공격을 하는 경우 권한이 많지 않은 경우 추가적으로 권한을 상승시키기 위한 악의적인 행동이 필요합니다. 하지만 웹 서비스를 운영하는 계정의 권한이 높은 경우에는 권한을 상승시킬 필요가 없기에 바로 내부 서버에 대한 ..

원문보기 내부링크
Tistory

[W-16/상] 2. 서비스 관리 2.10 IIS 링크 사용금지

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 링크 사용금지"에 대해서 설명드리도록 하겠습니다. IIS 링크를 사용하는 경우 서버에 존재하는 파일을 바로가기와 동일한 기능으로 링크를 사용할 수 있기에 해당 기능을 사용하지 못하게 하는 항목 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. IIS링크 사용이 가능한 경우 바로가기와 똑같은 기능이기에 서버에 존재하는 파일을 링크하여 실행할 수 있게 됩니다. 그렇게 되는 경우 웹 서비스를 통하여 서버에 실행파일을 실행시키으로써 악의적인 프로그램을 실행할 수 있습니다. 웹 서비스를 통해 서버에 존재하는 파일을 실행하는 권한이 부여받는 경우에는 악의적인 프로그램뿐만 아니라 Windows 기본 프로그램..

원문보기 내부링크
Tistory

[W-17/상] 2. 서비스 관리 2.11 IIS 파일 업로드 및 다운로드 제한

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 파일 업로드 및 다운로드 제한"에 대해서 설명드리도록 하겠습니다. 웹 서비스에서 파일을 업로드하거나 다운로드하는 경우가 다수 존재할 수밖에 없는데요 이런 업로드나 다운로드의 경우 용량에 대한 제한이 없는 경우 너무 큰 파일을 업로드하거나 너무 큰 파일은 다운로드 함으로써 장애가 발생할 수 있기에 용량에 대하여 제한하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 업로드 취약점과 다운로드 취약점은 웹 취약점 진단에서는 가장 위험도가 높은 취약점 중 하나입니다. 하지만 서버 진단에서 확인하는 것은 업로드와 다운로드에 대한 차단이 아니라 업로드와 다운로드 시 용량 관리에 대한 점검항목이라 조금 ..

원문보기 내부링크
Tistory

[W-18/상] 2. 서비스 관리 2.12 IIS DB 연결 취약점 점검

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS DB 연결 취약점 점검"에 대해서 설명드리도록 하겠습니다. 웹 서비스 운영시 다양한 데이터를 DB에 저장하게 사용합니다. 그렇기에 IIS와 DB를 연결하여 자료를 전달받고 전달해야 하는데요 이때 연결 시 사용하는 정보가 들어 있는 파일 관리에 대한 점검 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 웹 서비스를 운영하는 데 사용되는 데이터를 보관하는 DB는 IIS서비스와 연결되어 있어야 하는데요 DB와 연결하는 경우 인증이 필요하고 인증에 사용되는 정보를 파일 형태로 관리하고 있습니다. 그렇기에 해당 파일을 관리하는 것이 해당 점검 항목입니다. 해당 파일이 탈취되거나 하는 경우 DB에 연결되..

원문보기 내부링크
Tistory

[W-19/상] 2. 서비스 관리 2.13 IIS 가상 디렉토리 삭제

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 가상 디렉토리 삭제"에 대해서 설명드리도록 하겠습니다. NT와 2000에서 사용했는 가상 디렉토리는 2003 이상부터는 사용하지 않는 것으로 취약점이 발견되어 사용하지 않고 있습니다. 혹시 NT나 2000을 사용하는 경우 점검 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 점검할 일이 없는 점검 항목입니다. 일단 NT나 2000을 사용하는 것을 볼 수가 없습니다. 보안 패치가 진행되지 않으며, 서비스가 중지되어 있는 버전이기에 사용하는 거 자체가 취약입니다. 그렇기에 해당 점검 항목은 진단하는 경우는 없을 거 같긴 합니다. 해당 점검항목은 가상 디렉터리를 이용하여 IIS를 운영하는 것으로 해..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.2 직무 분리 : "직무분리가 어려운 경우 직무자 간 상호 검토, 상위 관리자 정기 모니터링 및 변경사항 승인, 책임 추적성 확보 방안 등의 보완 통제를 마련하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 두 번째 항목인 직무 분리에 대해서 알아보도록 하겠습니다. 보안은 감사 성격이 있는 직무입니다. 그렇기에 잘 운영하는지 보안적인 부분을 잘 지키고 있는지 확인하여야 하기에 직무를 분리하여야 합니다. 2.2.2 직무 분리 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. 상세점검항목 권한 오‧남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가? 직무분리가 어려운 경우 직무자 간 상호 검토, 상위 관리자 정기 모니터링 및 변경사항..

원문보기 내부링크
Tistory

[W-12/상] 2. 서비스 관리 2.6 IIS CGI 실행 제한

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS CGI 실행 제한"에 대해서 설명드리도록 하겠습니다. 웹서비스를 통해 서버에서 스크립트 파일을 실행하는 경우 악의적인 스크립트를 통해 서비스 장애를 발생시킬 수 있기에 사용하지 못하게 하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. CGI는 웹서비스를 통해서 서버에 있는 스크립트를 실행시킬 수 있는 설정으로 악의적은 사용자가 업로드 취약점을 통해 악의적인 스크립트를 업로드하여 해당 스크립트를 실행하는 경우 서버의 장애 또는 침해 사고가 발생할 수 있기에 사용하지 않는 것을 권고하고 있습니다. 웹 서비스를 통하여 서버에 직접적으로 실행 등 명령을 내릴 수 있는 것 자체가 문제가 될..

원문보기 내부링크
Tistory

[W-13/상] 2. 서비스 관리 2.7 IIS 상위 디렉토리 접근 금지

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 상위 디렉토리 접근 금지"에 대해서 설명드리도록 하겠습니다. 웹 서비스에서 사용하는 폴더뿐만 아니라 Windows에서 관리하는 상위 폴더에 대하여 접근하지 못하도록 하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. "../"는 일반적으로 상위 폴더 접근에 사용하는 문자열입니다. 이러한 문자열을 이용하여 웹 서비스에서 관리하는 폴더뿐만 아니라 그 상위 폴더인 Windows에서 관리하는 설정 파일이나 인증에 관련된 파일 등에 대하여 접근을 할 수 없게 제한하여야 하는데요 이러한 제한 설정을 점검하는 것이 "IIS 상위 디렉터리 접근 금지"입니다. "../"등을 이용하여 웹 서비스를 통..

원문보기 내부링크
Tistory

[W-14/상] 2. 서비스 관리 2.8 IIS 불필요한 파일 제거

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 불필요한 파일 제거"에 대해서 설명드리도록 하겠습니다. IIS는 현재 Windows 설치 시 기본적으로 설치가 되기에 사용 설명서나 도움말은 Windows 도움말에 같이 존재합니다. 또한 기본 페이지도 별도로 존재하지 않는데요 하지만 오래된 Windows버전의 경우 기본으로 설치되어 있지 않기에 별도 설치기 필요하고 별도 설치 시 설치되는 불필요 파일을 제거하는 것을 이야기하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. IIS에서 불필요 파일이라고 하면 기본 샘플 파일이나 도움말 파일 정도가 될 거 같습니다. 프로그램을 설치하는 경우에 대부분의 사용설명서나 도움말 또는 샘플 파일을 제공하..

원문보기 내부링크
Tistory

[W-08/상] 2. 서비스 관리 2.2 하드디스크 기본 공유 제거

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "하드디스크 기본 공유 제거"에 대해서 설명드리도록 하겠습니다. 공유폴더 사용 시 기본 공유가 지정되어 있는 C$, D$ 등 숨겨져 있는 공유폴더는 제거하는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 공유폴더 사용기 기본으로 공유되는 폴더가 있습니다. 물론 해당 폴더는 숨겨져 있는 폴더로 일반적으로 노출되지는 않지만 분명 공유되어 있는 폴더이기에 제거하는 게 맞는데요 이런 부분을 점검하는 것이 이번 점검 항목입니다. 기본적으로 설정되어 있는 폴더는 C$, D$, E$ 등 하드웨어가 기본으로 설정되어 있기에 해당 하드디스크에 대한 기본 공유를 제거해야 하는데요 하드웨어라 하지만 결국 폴더라고..

원문보기 내부링크
Tistory

[W-09/상] 2. 서비스 관리 2.3 불필요한 서비스 제거

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "불필요한 서비스 제거"에 대해서 설명드리도록 하겠습니다. Windows설치 시 기본값을 설치되는 각종 서비스 등에 대하여 불필요시 서비스를 제거하는 것으로 취약한 서비스 실행 및 과도하게 리소스를 이용하는 서비스에 대한 점검을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 불필요한 서비스란 사용하지 않는 서비스나 Windows 설치 시 기본적으로 설치되어 운영되는 서비스 등을 이야기합니다. 해당 항목에서 중요한 부분은 불필요한 서비스 판단 여부입니다. 가이드에서 기본적으로 불필요 서비스라고 명시되어 있는 부분이 있는데요 하지만 해당 서비스가 모두 불필요한 서비스가 아닐 수도 있기에 확인이 필요합니..

원문보기 내부링크
Tistory

[W-10/상] 2. 서비스 관리 2.4 IIS 서비스 구동 점검

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. UNIX에서 점검하는 웹 서비스 점검과 비슷한 항목으로 Windows에서 기본으로 제공하는 웹서비스를 사용 여부를 점검하는 항목을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. IIS는 Windows에서 제공하는 웹 서비스로 웹 서비스를 제공하지 않는 서버의 경우 사용하지 않는 것으로 불필요한 서비스 제공 시 문제가 될 수 있습니다. 웹 서비스는 사실 서비스 자체가 취약점 한 서비스입니다. 그렇기에 웹서비스를 제공하는 경우 다양한 보안장비를 이용하여 보호하고 있죠 그렇기에 웹 서비스를 꼭 필요한 경우가 아니라면 사용하지 않는 것이 좋습니..

원문보기 내부링크
Tistory

[W-11/상] 2. 서비스 관리 2.5 디렉토리 리스팅 제거

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "디렉터리 리스팅 제거"에 대해서 설명드리도록 하겠습니다. Windows에서 웹 서비스를 운영하는 경우에 웹에서 발생할 수 있는 디렉터리 리스팅 취약점을 사전에 차단하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 디렉터리 리스팅 취약점은 웹에서 서버에 존재하는 디렉토리가 노출되는 취약점으로 웹서비스와 상관없는 디렉토리까지 접속이 가능하며, 또한 불필요한 내용까지 노출되는 취약점으로 해당 취약점이 발견 시 서버의 종류와 형태 그리고 취약한 부분까지 정보가 모두 노출될 수 있는 취약점입니다. 이러한 취약점을 사전에 차단하고자 IIS서비스 디렉토리 리스팅 제거하여 서비스를 운영하는 것을 점검합..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.2 직무 분리 : "권한 오‧남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 두 번째 항목인 직무 분리에 대해서 알아보도록 하겠습니다. 보안은 감사 성격이 있는 직무입니다. 그렇기에 잘 운영하는지 보안적인 부분을 잘 지키고 있는지 확인하여야 하기에 직무를 분리하여야 합니다. 2.2.2 직무 분리 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. 상세점검항목 권한 오‧남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가? 직무분리가 어려운 경우 직무자 간 상호 검토, 상위 관리자 정기 모니터링 및 변경사항..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 첫 번째 항목인 직무자 지정 및 관리에 대해서 알아보도록 하겠습니다. 개인정보나 주요 시스템을 관리하고 접속하는 직원들에 대하여 주요 직무자로 지정하여 관리하는 항목입니다. 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 상세점검항목 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 첫 번째 항목인 직무자 지정 및 관리에 대해서 알아보도록 하겠습니다. 개인정보나 주요 시스템을 관리하고 접속하는 직원들에 대하여 주요 직무자로 지정하여 관리하는 항목입니다. 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 상세점검항목 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 첫 번째 항목인 직무자 지정 및 관리에 대해서 알아보도록 하겠습니다. 개인정보나 주요 시스템을 관리하고 접속하는 직원들에 대하여 주요 직무자로 지정하여 관리하는 항목입니다. 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 상세점검항목 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보..

원문보기 내부링크
Tistory

[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : "업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립‧이행하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 첫 번째 항목인 직무자 지정 및 관리에 대해서 알아보도록 하겠습니다. 개인정보나 주요 시스템을 관리하고 접속하는 직원들에 대하여 주요 직무자로 지정하여 관리하는 항목입니다. 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 상세점검항목 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.2 조직의 유지관리 : 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립‧이행하고 있는가?

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 두 번째 항목인 조직의 유지관리에 대해서 알아보도록 하겠습니다. 조직을 구성하고 해당 조직을 관리하는 항목입니다. 2.1.2 조직의 유지관리 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원..

원문보기 내부링크
Tistory

[W-07/상] 2. 서비스 관리 2.1 공유 권한 및 사용자 그룹 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "공유 권한 및 사용자 그룹 설정"에 대해서 설명드리도록 하겠습니다. 공유폴더에 관련된 내용으로 기본적으로 공유되어 있는 폴더를 제외한 폴더가 존재하거나 또는 아무나 접속할 수 있게 되어 있는 확인하는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 공유폴더관리에 대한 점검항목으로 Windows에서 사용하는 공유폴더 관리 부분으로 기본적으로 공유되어 있는 기본 공유폴더를 제외한 별도의 공유폴더가 존재하거나 아무나 접근할 수 있는 Everyoune 그룹에 공유되어 있는지 확인하는 것으로 공유 폴더 관련된 부분은 랜섬웨어가 처음 유포되었을 때 공유폴더 취약점을 이용하여 회사 전체에 유포되었는데요 해..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.3 정보자산 관리 : 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 세 번째 항목인 정보자산 관리에 대해서 알아보도록 하겠습니다. 보호해야 하는 자산에 대한 정보가 정의되어 있고 관리하고 있는지 확인하는 항목입니다. 2.1.2 조직의 유지관리 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다. 상세점검항목 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가? 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가? 첫 번째 항목인 "정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 ..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.3 정보자산 관리 : 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 세 번째 항목인 정보자산 관리에 대해서 알아보도록 하겠습니다. 보호해야 하는 자산에 대한 정보가 정의되어 있고 관리하고 있는지 확인하는 항목입니다. 2.1.2 조직의 유지관리 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다. 상세점검항목 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가? 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가? 두 번째 항목인 "식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?"에 대하여 알아보도록 ..

원문보기 내부링크
Tistory

[CS/상] 10. 악성 콘텐츠

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "악성 콘텐츠"에 대해서 설명드리도록 하겠습니다. 악의적인 콘테츠 삽입하거나 실행하는 하는 것으로 사실 단독으로 취약점이 발견되는 경우는 없습니다. 크로스 사이트 스크립트 취약점이 발견되는 경우에 해당 취약적을 이용하여 악성 콘텐츠를 삽입하게 되는데요 먼저 가이드를 확인해 보도록 하겠습니다. 일단 단독으로 발견되는 취약점은 아닙니다. 그렇기에 악성 콘테츠라는 취약점을 잡는 경우도 거의 없다고 보면 될 거 같습니다. 이유는 해당 취약점이 발견되기 위해서는 악의적은 콘테츠를 삽입을 하여야 하는데 삽입하는 방법이 정상적은 삽입이 어렵습니다. 그렇기에 크로스 사이트 스크립트라는 취약점을 이용하여 삽입하게 되는데요 그렇..

원문보기 내부링크
Tistory

[W-56/중] 1. 계정관리 1.17 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한"에 대해서 설명드리도록 하겠습니다. 계정의 생성하여 콘솔에서 로그인하는 경우에 암호가 없이 로그인하는 것을 방지하는 것으로 결국 암호가 없는 계정을 생성하지 못하게 하는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 콘솔에서는 로그인하는 계정의 경우에 빈 암호를 사용하지 못하게 하는 것으로 결국 계정을 생성하는 경우에 빈 암호로 계정을 생성하지 못하게 하는 설정입니다. 콘솔에 로그인하는 경우는 서비스 계정인 아닌 관리자 계정인 경우가 다수입니다. 서비스 계정을 경우에는 로그인 자체를 못하게 막혀 있기에 콘솔에서 로그인하는 경우는 서비스를 관리..

원문보기 내부링크
Tistory

[W-57/중] 1. 계정관리 1.18 원격터미널 접속 가능한 사용자 그룹 제한

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "원격 터미널 접속 가능한 사용자 그룹 제한"에 대해서 설명드리도록 하겠습니다. 원격 터미널 접속은 원격 접속이랑 동일한 이야기입니다. Windows에서는 원격 접속 기능이 기본적으로 탑재되어 있는데요 해당 기능을 사용하여 접속할 수 있는 그룹을 제한하여 관리하는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. Windows는 기본적으로 원 격적 속 프로그램이 탑재되어 있습니다. 그렇기에 원격 접속을 하기에 별도의 프로그램을 설치하는 거 설정할 필요가 없는데요 이처럼 기본적으로 설치되어 있는 원격 접속 프로그램이 있기에 많이 사용하게 됩니다. 서버를 관리하게 되는 경우는 원격 접속을 하지 않을 ..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.2 조직의 유지관리 : "정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 두 번째 항목인 조직의 유지관리에 대해서 알아보도록 하겠습니다. 조직을 구성하고 해당 조직을 관리하는 항목입니다. 2.1.2 조직의 유지관리 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.2 조직의 유지관리 : "정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 두 번째 항목인 조직의 유지관리에 대해서 알아보도록 하겠습니다. 조직을 구성하고 해당 조직을 관리하는 항목입니다. 2.1.2 조직의 유지관리 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원..

원문보기 내부링크
Tistory

[W-51/중] 1. 계정관리 1.12 패스워드 최소 사용 기간

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "패스워드 최소 사용 기간"에 대해서 설명드리도록 하겠습니다. 패스워드를 변경했을 때 최소로 사용하는 것을 이야기하는 것으로 기존 패스워드로 다시 변경하는 등의 행위를 방지하기 위해서입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드 최소 사용 기간 설정은 패스워드를 변경하고 최소 사용 기간을 채우지 않는 경우 패스워드를 변경하지 못하게 하는 설정입니다. 패스워드를 변경하고 최소 하루 정도는 사용하여야만 다른 패스워드로 변경하게 하는 것으로 사실 사람의 심리를 이용한 것도 일부분 있습니다. 패스워드를 변경하고 바로 또 기존 패스워드로 원복 하는 경우가 있을 수 있기에 해당 설정으로 통해 패스워드를 변..

원문보기 내부링크
Tistory

[W-52/중] 1. 계정관리 1.13 마지막 사용자 이름 표시 안 함

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "마지막 사용자 이름 표시 안 함"에 대해서 설명드리도록 하겠습니다. Windows에서는 GUI방식이이기에 로그 아웃을 하고 로그인하는 경우 웹에서 로그인하는 것처럼 ID와 PW입력창이 나오는데 해당 항목은 그 화면에서 기존의 사용자의 아이디가 먼저 입력되어 있지 않게 하는 것을 말합니다. 먼저 가이드를 확인해 보도록 하겠습니다. Windows에서는 로그인하는 과정에서 웹처럼 ID와 PW를 입력하여 로그인하게 되어 있습니다. 마지막 사용자 이름 표시 안 함은 Windows에서 로그아웃을 하고 로그인 창이 나오는 경우 기존의 사용자의 ID가 그대로 입력되어 있는 경우가 있는데 이렇게 기존의 사용자의 ID가 남..

원문보기 내부링크
Tistory

[W-53/중] 1. 계정관리 1.14 로컬 로그온 허용

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "로컬 로그온 허용"에 대해서 설명드리도록 하겠습니다. 로컬 로그인은 ID와 PW를 입력하여 원격 또는 서버에 직접 접속하는 것을 이야기하는데요 계정 중에는 로그인이 필요 없는 서비스 계정이 존재하기에 해당 점검항목은 그러한 계정에 대하여 로그온을 허용하지 않는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 로컬 로그온은 원격 또는 서버에 직접 로그인하는 것을 이야기하는데요 계정 중에는 서비스 운영에만 필요한 계정이 존재합니다. 그렇기에 그러한 계정은 로그온이 필요 없는 계정입니다. 해당 서비스의 설정은 꼭 해당 계정을 로그인하여 설정할 필요가 없기에 로그인이 필요 없습니다. 가장 대표적인 계..

원문보기 내부링크
Tistory

[W-54/중] 1. 계정관리 1.15 익명 SID/이름 변환 허용 해제

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "익명 SID/이름 변환 허용 해제"에 대해서 설명드리도록 하겠습니다. Windows에서도 UNIX에서 이야기하는 SID라는 게 존재하는데 물론 보편적으로 유출되어 있지 않습니다. 하지만 기본 계정을 경우 SID가 노출되어 있는데요 그중 가장 중요한 계정인 Administrator을 경우는 쉽게 SID 찾기가 쉽습니다. 이렇게 쉽게 노출된 SID를 이용하여 로그인되지 않게 하는 걸 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. Windows에서도 UNIX에서 비슷하게 SID라는 것이 존재합니다. 사실 Windows에서 SID가 쉽게 노출되지는 않습니다. 하지만 기본 계정을 경우에는 인터넷에서 쉽게 ..

원문보기 내부링크
Tistory

[W-55/중] 1. 계정관리 1.16 최근 암호 기억

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "최근 암호 기억"에 대해서 설명드리도록 하겠습니다. 계정 보호에 관련된 점검 항목입니다. 앞서 패스워드 설정 시 복잡도나 최소 사용시간 그리고 최대 사용시간, 계정 잠금까지 했는데요 이번 항목은 패스워드 변경 시 기존의 패스워드 사용하지 못하게 하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 최근 암호 기억은 패스워드 변경 시 기존의 패스워드로 다시 원복 하지 못하게 하는 것을 이야기하는데요 웹에서도 기존의 사용했던 패스워드 입니다라고 문구가 나오면서 다른 패스워드 설정하게 하는 것과 동일합니다. 가이드에서 권고하는 패스워드 기억은 4개로 90일마다 패스워드를 변경하게 설정하였기에 1년..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.1 정책의 유지관리 : "정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 내역에 대하여 이력 관리를 하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 첫 번째 항목인 정책의 유지관리에 대해서 알아보도록 하겠습니다. 보호대책 요구사항 항목으로 정책의 잘 유지하고 있는지 하는 것입니다. 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문..

원문보기 내부링크
Tistory

[W-48/중] 1. 계정관리 1.9 패스워드 복잡성 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "패스워드 복잡성 설정"에 대해서 설명드리도록 하겠습니다. 인증에 사용되는 패스워드는 탈취하기 위해 여러 가지 방법을 사용하는데요 그중 무차별 대입 공격이나 사전 대입 공격의 경우 패스워드 설정 시 특수문자나 숫자, 문자 등 복잡하게 설정하지 않으면 공격에 쉽게 탈취당할 수 있습니다. 그렇기에 패스워드 생성 시 특수문자, 숫자, 문자 등 포함하여 생성하여야 하기에 설정을 확인합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드는 인증에 사용되는 중요한 정보입니다. 아이디도 함께 사용되지만 아이디는 사실 노출되는 곳이 많이 있기에 보호하기가 쉽지 않죠 하지만 패스워드의 경우는 노출되는 것 자체가 문제가 ..

원문보기 내부링크
Tistory

[W-49/중] 1. 계정관리 1.10 패스워드 최소 암호 길이

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "패스워드 최소 암호 길이"에 대해서 설명드리도록 하겠습니다. 패스워드 생성 시 복잡하게 설정하여도 길이가 충분하지 않은 경우에는 무차별 대입 공격이나 사전 대입 공격에 취약할 수 있습니다. 그렇기에 강제로 패스워드 길이을 제한하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드는 안전하게 관리하여야 하며, 쉽에 유추할 수 없게 설정하여야 합니다. 그렇기에 앞서 패스워드 복잡도 설정을 강제하게 하였는데요 해당 항목은 패스워드의 최소 길이를 설정하는 것으로 최소 길이을 충족시키지 못하는 경우는 패스워드를 사용하지 못하도록 하는 것을 강제하는 것입니다. 최소 길이 설정값은 8로 설정하게 ..

원문보기 내부링크
Tistory

[W-50/중] 1. 계정관리 1.11 패스워드 최대 사용 기간

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "패스워드 최소 암호 길이"에 대해서 설명드리도록 하겠습니다. 패스워드 생성 시 복잡하게 설정하여도 길이가 충분하지 않은 경우에는 무차별 대입 공격이나 사전 대입 공격에 취약할 수 있습니다. 그렇기에 강제로 패스워드 길이을 제한하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드 최대 사용기간은 패스워드를 사용할 수 있는 기간을 이야기하는데요 결국 패스워드를 변경하고 90일 동안 사용하면 변경해야 한다는 것입니다. 90일이라는 날짜는 다양한 이유가 있으나, 해쉬된 패스워드 값이 노출되는 경우 레인보우 테이블을 생성하는 데 걸리는 시간인 약 90일 정도이기에 해쉬값이 노출돼도 레인보우 ..

원문보기 내부링크
Tistory

[ISMS-P] 1.4.3 관리체계 개선 : "재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 세 번째 항목인 관리체계 개선에 대해서 알아보도록 하겠습니다. 정보보호관리체계를 점검하는 것으로 관리체계를 잘 관리하고 있는가를 확인하는 것입니다. 1.4.3 관리체계 개선 법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다. 상세점검항목 법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가? 재발방지 및 개선 결과의 정확성 및 효과성 여부..

원문보기 내부링크
Tistory

[W-47/중] 1. 계정관리 1.8 계정 잠금 기간 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "계정 잠금 기간 설정"에 대해서 설명드리도록 하겠습니다. 정보보안에서 계정을 보호하는 것은 필수입니다. 그런 계정을 공격하는 방법 중 무차별 대입 공격 같은 지속적으로 계정을 탈취하기 위해 공격하는 것이 있는데요 그것을 방어하기 위하 설정인 계정 잠금 기간 설정입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 계정 잠금 기간 설정입니다. 앞서 이야기드린 것처럼 계정을 보호하기 위한 설정으로 계정 탈취를 목적으로 사용하는 공격 방법 중 무차별 대입 공격을 방어하는 위한 수단 중 하나입니다. 일단 무차별 대입 공격은 패스워드를 무차별 적으로 입력하여 패스워드를 유추하는 것으로 지속적으로 패스워드를 입력하게 됩..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.1 정책의 유지관리 : "정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 첫 번째 항목인 정책의 유지관리에 대해서 알아보도록 하겠습니다. 보호대책 요구사항 항목으로 정책의 잘 유지하고 있는지 하는 것입니다. 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.1 정책의 유지관리 : "조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제‧개정하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 첫 번째 항목인 정책의 유지관리에 대해서 알아보도록 하겠습니다. 보호대책 요구사항 항목으로 정책의 잘 유지하고 있는지 하는 것입니다. 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문..

원문보기 내부링크
Tistory

[ISMS-P] 2.1.1 정책의 유지관리 : "정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 시 이해 관계자의 검토를 받고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 첫 번째 항목인 정책의 유지관리에 대해서 알아보도록 하겠습니다. 보호대책 요구사항 항목으로 정책의 잘 유지하고 있는지 하는 것입니다. 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문..

원문보기 내부링크
Tistory

[ISMS-P] 1.4.1 법적 요구사항 준수 검토 : "조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 첫 번째 항목인 법적 요구사항 준수 검토에 대해서 알아보도록 하겠습니다. 개인정보보호법이나 정보통신망법은 보안에서 꼭 지쳐야 하는 법으로 법적 요구사항을 지키고 있는지 확인하는 항목입니다. 1.4.1 법적 요구사항 준수 검토 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 상세점검항목 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가? 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하고 있는가? 첫 번째 항목인 "조직이 준수..

원문보기 내부링크
1 2 3